分享

研究决定企业为何打不同的数据泄露

博士。侯赛因cavusoglu

博士。侯赛因cavusoglu

在零售商店,如目标和内曼·马库斯最近高调安全漏洞之后,德克萨斯大学达拉斯分校的一项新研究决定,为什么在信息安全控制资源组织之间存在水平差异。

由于数字化开始,组织已经明白他们的信息是多么宝贵,说 博士。侯赛因cavusoglu该研究的主要作者,副教授 信息系统 在达拉斯德州。最近,互联网上的依赖使得难以对组织保证和保护这一资产。

保护最初被看作是一个技术相关问题的信息,他说,通过在技术解决方案的投资解决。

“但多年来,它已经很清楚,以技术为基础的解决方案并非万无一失或充分,说:” cavusoglu,在安全管理研究 管理的纳温金达莱学校。 “在这种观察光线,我们感兴趣的是确定一套连贯的信息安全控制该组织应投资于保护自己的信息资产的组织资源。”

为研究,发表在6月版 Information & Management研究人员调查了他们组织的信息安全实践和操作的高层和中层IT经理。分析是基于来自不同行业和大小的241点的组织反应。

研究发现,组织应投资于三个不同的资源,以更好地保护他们的信息:安全技术,合格的信息安全人员和组织用户的安全意识。

为组织提出建议

研究建议投资于:

  • 安全技术 - 在其内地址的漏洞预防和侦探技术解决方案的结构,其中的关键信息资产所在。
     
  • 合格的信息安全人员 - 专业的工作人员谁可以定义,执行和维护组织的信息安全计划。
     
  • 组织用户的安全意识 - 员工与组织的信息资产进行交互充分了解,训练有素,了解安全相关的问题,并承担安全作为其日常职责。

因为企业认为安全风险不同,他们在信息安全控制投资在不同的层次。研究人员还检测了这些投资的驱动程序。

“我们发现,强制的压力 - 来自商业伙伴或行业和政府法规所产生 - 和规范压力 - 植根于合作伙伴的信息安全实践,以及通过专业机构,贸易展览,会议和安全出版物公司的接触到安全最佳实践 - 在安全控制的资源在很大程度上影响企业的投资,” cavusoglu说。

cavusoglu说,这一发现对公共政策制定者,安全厂商和个人组织几方面的含义。

该研究建议公共政策制定者继续支持政府资助的安全组,并与专业的安全协会和理事会密切合作,在安全设计监管规则,促进最佳安全实践。

cavusoglu说,这项研究表明,信息安全不仅仅是关于技术和抵御安全威胁,组织应投资于技术解决方案和知识资产。

研究建议组织要考虑信息安全作为可以与组成的信息安全技术,合格的信息安全人员和组织用户的安全意识控制机制的组合投资组合进行管理的问题。

“雇员应该明白,他们在维护他们的组织的信息资产方面发挥重要作用,并保持自己上最新与当代的安全威胁,” cavusoglu说。 “企业应该狠抓安全教育,这可以被安全为安全的最大保障最薄弱的环节改变员工。”

博士。哈桑cavusoglu和DR。 izak benbasat不列颠哥伦比亚省和博士的大学。延世大学的宰烈的儿子也促成了研究。

媒体联系方式: 媒体关系办公室,达拉斯德州,(972)883-2155, [电子邮件保护].

标签: 研究 索姆